RODO (Ogólne Rozporządzenie o Ochronie Danych) to unijne rozporządzenie 2016/679, które od 25 maja 2018 roku reguluje zasady przetwarzania danych osobowych we wszystkich krajach Unii Europejskiej — w tym w Polsce. Każda firma, niezależnie od wielkości, która gromadzi, przechowuje lub przetwarza dane osobowe klientów, pracowników czy kontrahentów, podlega pod RODO — a za jego naruszenie grożą kary sięgające 20 milionów euro lub 4% rocznego globalnego obrotu.
W skrócie
- RODO obowiązuje każdą firmę w Polsce od 25 maja 2018 roku — jednoosobową działalność tak samo jak korporację
- Dane osobowe to nie tylko imię i nazwisko, ale też adres e-mail, IP, numer telefonu, PESEL czy dane z plików cookies
- Kary za naruszenie: do 10 mln € (2% obrotu) za uchybienia administracyjne, do 20 mln € (4% obrotu) za naruszenie zasad fundamentalnych
- Organem nadzorczym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO) — ma prawo nakładać kary bezpośrednio
- Do sierpnia 2024 r. PUODO i inne organy UE nałożyły łącznie ponad 2400 kar — trend jest rosnący
- Zgodność z RODO to proces ciągły, nie jednorazowe wdrożenie — wymaga regularnych audytów i aktualizacji dokumentacji
Pełna definicja i zakres RODO
RODO to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku. Weszło w życie po dwuletnim okresie przejściowym — 25 maja 2018 roku — i od tego momentu obowiązuje bezpośrednio we wszystkich państwach członkowskich UE, bez potrzeby implementacji do prawa krajowego. W Polsce RODO zastąpiło wcześniejszą ustawę o ochronie danych osobowych z 1997 roku, a Generalnego Inspektora Ochrony Danych Osobowych (GIODO) zastąpił Prezes Urzędu Ochrony Danych Osobowych (PUODO), powoływany przez Sejm za zgodą Senatu.
Rozporządzenie opiera się na siedmiu fundamentalnych zasadach przetwarzania danych:
- Zasada zgodności z prawem, rzetelności i przejrzystości — dane muszą być przetwarzane legalnie, uczciwie i w sposób transparentny dla osoby, której dotyczą
- Zasada ograniczenia celu — dane zbierasz wyłącznie w konkretnym, wyraźnym i prawnie uzasadnionym celu; nie możesz ich później wykorzystać w sposób niezgodny z tym celem
- Zasada minimalizacji danych — zbierasz tylko te dane, które są niezbędne do realizacji celu
- Zasada prawidłowości — dane muszą być dokładne i aktualne; nieprawidłowe należy niezwłocznie usunąć lub sprostować
- Zasada ograniczenia przechowywania — przechowujesz dane tylko przez okres niezbędny do realizacji celu
- Zasada integralności i poufności — zapewniasz odpowiednie bezpieczeństwo danych, w tym ochronę przed nieuprawnionym przetwarzaniem i przypadkową utratą
- Zasada rozliczalności — jako administrator danych (ADO) musisz być w stanie wykazać zgodność ze wszystkimi powyższymi zasadami
Kogo dotyczy RODO
RODO dotyczy każdego podmiotu przetwarzającego dane osobowe osób znajdujących się na terenie UE — niezależnie od tego, czy przetwarzanie odbywa się na terenie Unii, czy poza nią (o ile dotyczy osób w UE). Oznacza to, że polskiemu RODO podlega:
- Każda firma zarejestrowana w Polsce — od jednoosobowej działalności gospodarczej po międzynarodowe korporacje
- Każdy sklep internetowy, nawet najmniejszy
- Każda strona internetowa zbierająca dane przez formularze kontaktowe, newslettery czy pliki cookies
- Organizacje pozarządowe, stowarzyszenia i fundacje
- Instytucje publiczne i samorządowe
Wyjątek: RODO nie dotyczy przetwarzania danych w celach czysto osobistych lub domowych (np. prywatna książka adresowa).
Główne obowiązki firm wynikające z RODO
RODO nakłada na administratorów danych szereg konkretnych obowiązków. Poniżej zestawienie kluczowych wymagań wraz z praktycznymi wskazówkami.
1. Obowiązek informacyjny
Każda osoba, której dane zbierasz, musi otrzymać jasną, przejrzystą i zrozumiałą informację o tym:
- Kto jest administratorem jej danych (pełna nazwa firmy, adres, dane kontaktowe)
- W jakim celu i na jakiej podstawie prawnej dane są przetwarzane
- Przez jaki okres dane będą przechowywane
- Komu dane mogą być przekazywane
- Jakie prawa przysługują osobie (dostęp, sprostowanie, usunięcie, przeniesienie, sprzeciw)
- O prawie do wniesienia skargi do PUODO
Obowiązek informacyjny realizuje się najczęściej poprzez klauzulę informacyjną — dokument, który musi być dostępny w momencie pozyskiwania danych (np. pod formularzem kontaktowym na stronie, w regulaminie sklepu, w umowie z pracownikiem).
2. Rejestr czynności przetwarzania
Każda firma zatrudniająca powyżej 250 osób ma obowiązek prowadzenia rejestru czynności przetwarzania danych. Jednak mniejsze firmy też muszą go prowadzić, jeśli:
- Przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób
- Przetwarzanie nie ma charakteru sporadycznego
- Przetwarzane są dane wrażliwe (np. zdrowotne, o karalności) lub dotyczące wyroków skazujących
W praktyce oznacza to, że niemal każda firma powinna posiadać rejestr czynności przetwarzania — nawet mały sklep internetowy, który regularnie przetwarza dane klientów.
3. Inspektor Ochrony Danych (IOD/DPO)
Powołanie Inspektora Ochrony Danych jest obowiązkowe dla:
- Organów i podmiotów publicznych
- Firm, których główna działalność polega na monitorowaniu osób na dużą skalę
- Firm przetwarzających na dużą skalę dane wrażliwe
Małe i średnie firmy rzadko mają obowiązek wyznaczania IOD — ale często robią to dobrowolnie, aby zminimalizować ryzyko naruszeń. IOD może być pracownikiem etatowym lub zewnętrznym konsultantem.
4. Ocena skutków dla ochrony danych (DPIA)
Jeśli planujesz wdrożenie nowego procesu przetwarzania, który może wiązać się z wysokim ryzykiem dla prywatności (np. monitoring wizyjny na dużą skalę, profilowanie klientów, przetwarzanie danych biometrycznych), musisz przeprowadzić ocenę skutków dla ochrony danych. To formalny dokument analizujący ryzyka i opisujący środki ich minimalizacji.
5. Zgłaszanie naruszeń
W przypadku naruszenia ochrony danych (wyciek, kradzież, nieuprawniony dostęp) masz 72 godziny od wykrycia incydentu na zgłoszenie go do PUODO. Jeśli naruszenie może powodować wysokie ryzyko dla praw osób, musisz także niezwłocznie poinformować same osoby, których dane dotyczą.
Kary za naruszenie RODO — realne ryzyko
Kary RODO są realne i boleśnie wysokie. PUODO dysponuje dwoma progami kar:
| Próg kary | Maksymalna wysokość | Przykładowe naruszenia |
|---|---|---|
| Niższy próg | 10 mln € lub 2% rocznego globalnego obrotu | Brak rejestru czynności przetwarzania, nieprzeprowadzenie DPIA, brak powołania IOD mimo obowiązku, niedopełnienie obowiązku informacyjnego, niewystarczające zabezpieczenia techniczne |
| Wyższy próg | 20 mln € lub 4% rocznego globalnego obrotu | Naruszenie fundamentalnych zasad przetwarzania, brak podstawy prawnej, złamanie praw osób (np. odmowa dostępu do danych), nielegalne przekazywanie danych poza UE |
W obu przypadkach stosuje się wyższą z dwóch wartości — procent obrotu lub kwotę bezwzględną.
PUODO w ostatnich latach pokazał, że nie waha się nakładać dotkliwych kar. Głośnym przypadkiem była kara ponad 3,8 mln zł nałożona na sklep Morele.net za niewystarczające zabezpieczenie danych klientów po ataku hakerskim. Kara ta została nałożona ponownie w 2024 roku po uchyleniu wcześniejszej decyzji przez NSA — co pokazuje determinację urzędu. PUODO nakłada też mniejsze kary (14–33 tys. zł) za brak współpracy z organem nadzorczym.
Prawa osób, których dane dotyczą — co musi obsłużyć Twoja firma
RODO przyznaje osobom fizycznym szereg praw, które każda firma musi respektować i być gotowa zrealizować w ciągu 30 dni od otrzymania żądania (z możliwością przedłużenia o kolejne 2 miesiące w skomplikowanych przypadkach):
| Prawo | Co oznacza w praktyce |
|---|---|
| Prawo dostępu do danych | Klient może zapytać, jakie dane o nim przechowujesz — musisz odpowiedzieć i dostarczyć kopię danych |
| Prawo do sprostowania | Obowiązek poprawienia nieprawidłowych danych na żądanie |
| Prawo do usunięcia ("prawo do bycia zapomnianym") | W określonych sytuacjach musisz trwale usunąć dane (np. gdy dane nie są już potrzebne do celu, w którym zostały zebrane) |
| Prawo do ograniczenia przetwarzania | Na czas wyjaśnienia sporu o prawidłowość danych musisz je zablokować do przetwarzania |
| Prawo do przenoszenia danych | Udostępnienie danych w ustrukturyzowanym, powszechnie używanym formacie (np. CSV, JSON) — dotyczy danych przetwarzanych automatycznie na podstawie zgody lub umowy |
| Prawo do sprzeciwu | Osoba może sprzeciwić się przetwarzaniu danych do marketingu bezpośredniego — musisz natychmiast zaprzestać |
| Prawo do niepodlegania automatyzowanym decyzjom | Nie możesz podejmować wobec osoby decyzji opartych wyłącznie na automatycznym przetwarzaniu (w tym profilowaniu), jeśli wywołują one skutki prawne |
RODO w praktyce małej i średniej firmy — lista kontrolna
Poniżej minimalny zestaw działań, które każda firma powinna wdrożyć, aby działać zgodnie z RODO:
- Wyznacz administratora danych — zazwyczaj jest to sama firma (właściciel, zarząd)
- Przygotuj i wdróż klauzule informacyjne — dla klientów, pracowników, użytkowników strony www, dostawców
- Prowadź rejestr czynności przetwarzania — nawet jeśli ustawowo nie musisz, warto go mieć jako dowód rozliczalności
- Sprawdź podstawy prawne — każde przetwarzanie musi mieć podstawę (zgoda, umowa, obowiązek prawny, uzasadniony interes administratora)
- Zadbaj o zabezpieczenia techniczne i organizacyjne — szyfrowanie, kontrola dostępu, polityka haseł, backup, ochrona przed ransomware
- Przygotuj procedurę zgłaszania naruszeń — kto, kiedy i jak zgłasza incydent do PUODO
- Przeszkol pracowników — każdy pracownik mający dostęp do danych osobowych musi rozumieć podstawowe zasady RODO
- Zweryfikuj umowy powierzenia — jeśli korzystasz z zewnętrznych usług przetwarzających dane (hosting, księgowość, CRM, mailing), musisz mieć z nimi podpisane umowy powierzenia danych
Porównanie: przed RODO vs. po RODO w polskiej firmie
| Obszar | Przed RODO (przed 25.05.2018) | Po RODO (obecnie) |
|---|---|---|
| Organ nadzorczy | GIODO (ograniczone kompetencje) | PUODO (m.in. bezpośrednie nakładanie kar) |
| Maksymalna kara | Do ok. 200 tys. zł (rzadko egzekwowana) | Do 20 mln € lub 4% globalnego obrotu |
| Zgoda na dane | Często domyślna lub dorozumiana | Musi być aktywna, świadoma, dobrowolna, konkretna i łatwa do wycofania |
| Obowiązek informacyjny | Ograniczony | Rozbudowany — szczegółowa klauzula przy każdym zbieraniu danych |
| Rejestr przetwarzania | Nieobowiązkowy | Obowiązkowy dla większości firm |
| Zgłaszanie wycieków | Brak obowiązku | Obowiązek w ciągu 72 godzin |
| Prawo do bycia zapomnianym | Nieistniejące | Pełnoprawne — firma musi usunąć dane na żądanie |
| Odpowiedzialność | Reaktywna | Proaktywna — zasada rozliczalności |
Częste pytania
Czy jednoosobowa działalność gospodarcza też podlega pod RODO?
Tak, w pełnym zakresie. RODO nie rozróżnia wielkości firmy — każdy podmiot przetwarzający dane osobowe w związku z działalnością gospodarczą podlega przepisom. Jedyna różnica dotyczy obowiązku prowadzenia rejestru czynności przetwarzania: firmy zatrudniające poniżej 250 osób są z niego zwolnione, chyba że przetwarzają dane wrażliwe, przetwarzanie nie ma charakteru sporadycznego lub powoduje ryzyko naruszenia praw — co w praktyce dotyczy większości JDG prowadzących sprzedaż online.
Jakie dane są uznawane za "dane osobowe" według RODO?
Dane osobowe to wszelkie informacje umożliwiające bezpośrednią lub pośrednią identyfikację osoby fizycznej. Obejmuje to nie tylko imię, nazwisko, PESEL czy adres zamieszkania, ale także adres e-mail (np. jan.kowalski@firma.pl), numer IP urządzenia, identyfikatory plików cookies, dane o lokalizacji z telefonu, numery rejestracyjne pojazdów, a nawet identyfikatory reklamowe przeglądarki. Szczególną kategorią są tzw. dane wrażliwe: informacje o stanie zdrowia, przekonaniach religijnych, orientacji seksualnej, przynależności związkowej czy karalności — te podlegają jeszcze ostrzejszym rygorom.
Czy muszę powołać Inspektora Ochrony Danych w małej firmie?
W większości przypadków małe firmy nie mają ustawowego obowiązku powoływania IOD. Obowiązek dotyczy głównie organów publicznych oraz firm, których podstawowa działalność polega na monitorowaniu osób na dużą skalę lub na przetwarzaniu danych wrażliwych. Mimo to, wiele małych firm decyduje się na outsourcing IOD — zewnętrzny inspektor kosztuje zazwyczaj od 300 do 1000 zł miesięcznie, a jego obecność znacząco zmniejsza ryzyko kar i pomaga w razie kontroli PUODO.
Co grozi firmie za brak klauzuli informacyjnej na stronie internetowej?
Brak klauzuli informacyjnej to naruszenie jednego z fundamentalnych obowiązków RODO. PUODO może nałożyć karę do 10 mln euro lub 2% globalnego obrotu. W praktyce polski organ nadzorczy stosuje jednak zasadę proporcjonalności — pierwsza kontrola często kończy się upomnieniem i wyznaczeniem terminu na uzupełnienie braków. Dopiero uporczywe ignorowanie obowiązków lub poważne naruszenia przy dużej skali przetwarzania skutkują dotkliwymi karami finansowymi.
Czy korzystanie z Google Analytics lub Facebook Pixel wymaga zgody użytkownika?
Tak — i to jest jeden z najczęściej pomijanych obowiązków RODO. Zarówno Google Analytics, jak i Meta Pixel (Facebook) zbierają dane osobowe (pliki cookies, identyfikatory urządzeń, adresy IP) i przesyłają je na serwery w USA. Zgodnie z RODO i wyrokiem TSUE w sprawie Schrems II, transfer danych do USA wymaga odpowiednich zabezpieczeń. W praktyce oznacza to, że przed załadowaniem tych skryptów musisz uzyskać dobrowolną, świadomą i konkretną zgodę użytkownika poprzez banner cookie. Samo poinformowanie "ta strona używa cookies, korzystając akceptujesz" nie spełnia wymogów — zgoda musi być aktywna (opt-in), a użytkownik musi mieć możliwość łatwego jej wycofania.
Jak długo mogę przechowywać dane byłego klienta?
Zgodnie z zasadą ograniczenia przechowywania — tylko tak długo, jak jest to niezbędne do realizacji celu. Dla danych księgowych (faktury) okres przechowywania wynika z ustaw podatkowych — standardowo 5 lat od końca roku podatkowego. Dla danych marketingowych (np. adres e-mail do newslettera) — do momentu wycofania zgody przez klienta. Dla danych z umów cywilnoprawnych — do czasu przedawnienia roszczeń (zazwyczaj 6 lat). Po upływie tych okresów dane należy trwale usunąć lub zanonimizować.
Czy chmura (np. Microsoft 365, Google Workspace) jest zgodna z RODO?
Korzystanie z chmury publicznej jest w pełni zgodne z RODO, pod warunkiem że dopełnisz formalności. Musisz podpisać z dostawcą chmury umowę powierzenia przetwarzania danych (DPA — Data Processing Agreement), zweryfikować, gdzie fizycznie przechowywane są dane (Microsoft 365 i Google Workspace oferują centra danych w UE), oraz sprawdzić, jakie zabezpieczenia techniczne oferuje dostawca. Microsoft 365 spełnia te wymagania i jest jednym z najczęściej wybieranych rozwiązań w polskich firmach ze względu na zgodność z RODO, szyfrowanie end-to-end i certyfikaty ISO 27001. Jeśli szukasz legalnego oprogramowania biurowego zgodnego z RODO, sprawdź ofertę Microsoft 365 oraz Office w przystępnych cenach w sklepie KluczeSoft.pl — każdy klucz dostarczany jest z fakturą VAT i spełnia wymogi legalności w UE.
Niniejszy artykuł ma charakter informacyjny i nie stanowi porady prawnej. W celu dostosowania polityki RODO do specyfiki Twojej firmy skonsultuj się z prawnikiem lub certyfikowanym Inspektorem Ochrony Danych. KluczeSoft.pl jest niezależnym sprzedawcą oprogramowania i nie jest powiązany z Microsoft Corporation ani Urzędem Ochrony Danych Osobowych.
Sprawdź też
- Bezpieczeństwo WiFi — kompletny przewodnik po standardach WPA3, WPA2, szyfrowaniu i ochronie sieci domowej (2026)
- Ochrona dziecka w internecie — kompleksowy przewodnik dla rodziców
- Bezpieczne hasło — co to znaczy w 2026 roku, jak je stworzyć i dlaczego "123456" wciąż wygrywa
- Co to jest phishing — definicja, rodzaje, jak rozpoznać atak i skutecznie się chronić (2026)
Powiązane artykuły
- Audyt licencji Microsoft True-Up — kompletny przewodnik dla firm (2026) — True-Up (z ang.
- Przejścia i animacje w PowerPoint — praktyczny poradnik krok po kroku (2026) — To fundamentalne rozróżnienie, które często prowadzi do nieporozumień.
- Microsoft Edge for Business vs Chrome Enterprise — porównanie przeglądarek dla firm (2026) — Edge for Business to nie tylko przeglądarka — to przedłużenie ekosystemu Microsoft 365 na każdym urządzeniu.
- Microsoft Purview Information Protection — kompletny przewodnik po konfiguracji i wdrożeniu (2026) — Microsoft Purview Information Protection to zestaw funkcji w ramach platformy Microsoft Purview, który umożliwia organizacjom zarządzanie cy.
- Microsoft Defender XDR vs ESET Protect Advanced — porównanie platform bezpieczeństwa dla firm (2026) — Microsoft Defender XDR (dawniej Microsoft 365 Defender) to zunifikowana platforma XDR, która łączy sygnały z czterech głównych filarów bezpi.
